KDDIクラウドプラットフォームサービス ナレッジサイト

  • HOME
  • サービス
  • オブジェクトストレージ・ファイルサーバー
  • KCPSファイルサーバー
  • 提供機能
  • ランサムウェア対策

ランサムウェア対策

ランサムウェア対策 2020年3月2日より提供開始

  • ランサムウェアの行為を検出して、駆除・復旧まで自動実行することで、ファイルサーバーへの感染を防ぎます

 

従来のシグネチャ方式、振る舞い検知方式とは異なり、ウイルスパターンファイルを使用しません。
ランサムウェアの特徴を調べるのではなく、状況認識技術により棄損されるファイルの変化をリアルタイムで
検出
します。この技術により、検出用のウイルスパターンファイルを使わずに、ランサムウェアを検出することが
でき、未知のランサムウェアにも対応することができます。

 

 

【提供機能】

検疫
  • ファイル更新時(新規保存、上書き保存)にチェック
  • 検疫対象の拡張子は以下(アプリ仕様のため変更不可)

7z,ai,bmp,cer,crt,csv,der,doc,docx,dwg,eps,gif,hwp,jbw,jpeg,jpg,jps,jtd,key,lic,lnk,
mp3,nc,odp,ods,odt,ogg,one,ost,p12,p7b,p7c,pdf,pef,pem,pfx,png,ppt,pptx,psd,pst,
ptx,rdp,rtf,srw,tap,tif,tiff,txt,uti,x3f,xls,xlsx,xps,zip

検疫が発生した場合 ※1
  • ランサムウェア感染前に原本ファイルをリアルタイムバックアップ
    (同ボリューム内に自動保存)※2
  • ランサムウェアとして検知されたIPアドレスを一時的(1時間)に自動遮断 ※3
  • ランサムウェアファイル及び毀損(暗号化)されたファイルを削除
  • リアルタイムバックアップからファイルを自動復旧
  • 検疫結果、遮断されたIPアドレス情報等をログに出力
ログファイル ログファイルは「I:\Logs\RansomVirus_Log」フォルダに保存
Mackerel検知/通知 ※4 検知/遮断/駆除/復旧した場合、Mackerelよりアラート通知する

 

【ログファイルフォーマット】

項目 内容
日付 検知日時  年-月-日 時:分:秒で表示
探知主体 該当脅威が検知された機能名「ランサムガード」
脅威 検知した内容がどのような脅威であるか表示(ファイル名変更、ファイル毀損など)
種類 ファイル、レジストリ、ホストなど
対象パス 感染の対象パス
処理 感染の処理結果

※ログ(CSV形式)の文字コードはUTF-8のため、UTF-8が参照できるエディタをご利用ください。

 

【注意事項】

※1 検疫が発生した場合

  • 正常なファイルアクセスであっても、ランサムウェアの疑いのある動作をすれば、遮断・駆除される可能性が
    あります。

2 リアルタイムバックアップ機能

  • リアルタイムバックアップは、ランサムウェア感染の疑いのあるファイルを感染前に自動バックアップする機能
    です。
  • バックアップは7日間で自動削除されます。
  • 余裕を持った空き容量の確保が必要です。(空き容量の不足によりFS利用に影響がでる可能性があるため)
  • お客さまのデータボリュームにバックアップ取得分の空き容量がない場合は、リアルタイムバックアップからの
    データ復旧はできません。
  • リアルタイムバックアップフォルダは、アプリ仕様(セキュリティ)上、お客さま及びKDDI側でのアクセス
    (参照、容量確認含む)はできません。

3 IPアドレス遮断機能

  • お客さま拠点でランサムウェア感染したPCは、ネットワークを超えてFSファイルの圧縮を行いますが、本機能をONにした場合、ランサムウェアとして検知されたIPアドレスを一時的に自動遮断し、感染拡大を防ぐ機能です。
  • 初期値は機能OFFで設定されており、申込書により機能ON/OFFの変更が可能となります。申込に関する詳細は営業担当へお問合せ下さい。
  • ランサムウェア検知時、通常はリアルタイムバックアップから感染ファイルを自動復旧しますが、お客さま側で感染元の特定/駆除等を実施せず、ランサムウェア検知が継続した場合に、バックアップ取得分の空き容量がなく、ランサムウェア感染が拡大する可能性があります。感染拡大を防ぐために本機能をONにすることが有効ですが、以下の注意事項をご確認の上、利用してください。
  •  遮断時間(1時間)経過後は、該当IPアドレスからFSへアクセス可能となりますが、継続してランサムウェアとして検知された場合は自動遮断も継続します。
  • FSへProxy経由等で同じIPアドレスでアクセスする場合、全てのアクセスが遮断されます。

※4 Mackerel検知/通知

  • ランサムウェア感染に関するMackerel検知/通知された場合は、アプリケーション仕様によるFS内の防御は
    行いますが、お客さま側の感染元の特定/駆除等、確認/対処をお願いします。
  • 異常時にアラート通知が行えなくなりますので、Mackerel通知は無効化しないでください。

サービス

2020/03/27 2020/03/27